RAS Trust Center · v1.0

Prüfbar, nicht versprechen.

Compliance, Subprozessoren und Sicherheits-Maßnahmen unseres AI Sales Crew Setups.

Compliance-Status, Subprozessoren und Sicherheits-Maßnahmen unseres Stacks. Detaillierte Dokumente auf Anfrage.

Subprozessoren ansehen Dokumente anfordern

Letzte Aktualisierung: 06.05.2026 Verantwortlich: Christian Hommrich Quartalsweise interne Compliance-Pflege

Auf einen Blick

Vier Trust-Signale, die wir heute belegen können - keine Aspirations-Aussagen.

🇩🇪

Datenstandort

Microsoft 365 Hauptdienste in Germany. HubSpot-Tenant in der EU (Frankfurt, app-eu1). Cloudflare mit EU-Local-Routing.

Beleg: MS365_Tenant_Region_2026-05-06, HubSpot uiDomain via MCP 06.05.2026

📜

AVVs aktiv

DPAs mit allen drei primären Subprozessoren (Anthropic, HubSpot, Microsoft) sind via Terms automatisch eingebunden.

Beleg: Anthropic_DPA_Volltext_2025-02-24, HubSpot_DPA_Volltext_2026-04-14, MS365_DPA_2025-09

🔐

Compliance via Subprozessor

Anthropic ISO/IEC 42001 (AI-Management) + ISO 27001. Microsoft 365 ISO 27001/27018. HubSpot SOC 2 Type II + ISO 27001.

Beleg: trust.anthropic.com, trust.hubspot.com, MS Compliance Manager

🇪🇺

EU-Schutz

SCCs Module 2 + 3 für alle US-Transfers eingebunden. Schrems-II-Pfad über EU-U.S. Data Privacy Framework.

Beleg: DPA-Volltexte aller drei primären Subprozessoren

Subprozessoren

Wir nutzen das Beste, statt es selbst zu reproduzieren. Alle Vendoren und ihre Compliance-Zertifizierungen - verlinkt auf die offiziellen Trust-Pages.

Primäre Subprozessoren

Die drei zentralen Datenverarbeiter unseres Stacks. Alle DPAs aktiv.

Subprozessor	Funktion	Datenstandort	DPA	Compliance	Quelle
Anthropic	AI-Inferenz (Claude API)	US (mit SCCs Module 2+3)	aktiv · 24.02.2025	SOC 2 Type 2ISO 27001ISO 42001CSA Star L2HIPAANIST 800-171	trust.anthropic.com
HubSpot	CRM, Pipeline, Kontakte, Deals	EU (Frankfurt · app-eu1)	aktiv · 14.04.2026	SOC 2 Type IIISO 27001	trust.hubspot.com
Microsoft 365	Office, E-Mail, Teams, OneDrive, SharePoint	Germany (Hauptdienste)	aktiv · 09/2025	SOC 2ISO 27001ISO 27018EU Data Boundary	microsoft.com/licensing/docs

Infrastruktur-Subprozessoren

Hosting, Source-Control und PKM - DPAs via Terms eingebunden.

Subprozessor	Funktion	Datenstandort	DPA	Compliance	Quelle
Cloudflare	Hosting (Pages), CDN, DNS, Email Routing	EU (Local-Routing)	aktiv · via Terms	SOC 2ISO 27001PCI DSS	cloudflare.com/trust-hub
GitHub	Source-Code-Hosting für Open-Source-Beiträge	US (mit SCCs)	aktiv · via Terms	SOC 1SOC 2ISO 27001	github.com/security
Notion	Internes PKM (kein PII)	US (mit SCCs)	aktiv · via Terms	SOC 2 Type 2ISO 27001ISO 27017ISO 27018ISO 27701	notion.com/security

Indirekte Subprozessoren (via primäre)

Vollständige Listen werden direkt von unseren primären Subprozessoren gepflegt.

Anthropic-Sub-Processoren (Google Cloud, AWS, Microsoft Azure) Anthropic Trust Center →
HubSpot-Sub-Processoren (AWS, Google Cloud, Snowflake - alle Frankfurt für EU-Tenant) HubSpot Sub-Processors →
Microsoft Online Services Subprocessors Microsoft DPA →

Datenschutz-Dokumentation

Direkt verfügbar oder auf Anfrage. "In Vorbereitung" heisst: das Dokument existiert noch nicht - wir kennzeichnen das transparent.

Datenschutzerklärung (Hauptdomain, mit Subprozessoren-Sektion) live Oeffnen →
Anthropic DPA (Volltext, Stand 24.02.2025) aktiv Anthropic DPA →
HubSpot DPA (Stand 14.04.2026) aktiv HubSpot DPA →
Microsoft DPA (DE / EN, Stand 09/2025) auf Anfrage Anfordern →
Verarbeitungsverzeichnis Art. 30 DSGVO (VVT) in Vorbereitung - verfügbar ab Mai 2026 noch nicht verfügbar
TOM-Dokument (Art. 32 DSGVO) in Vorbereitung - verfügbar ab Mai 2026 noch nicht verfügbar
Transfer Impact Assessment (TIA) Anthropic in Vorbereitung - verfügbar ab Mai 2026 noch nicht verfügbar
ISMS-Lite-Dokument in Vorbereitung - verfügbar ab Mai 2026 noch nicht verfügbar

Sicherheits-Maßnahmen

Überblick über unsere technischen und organisatorischen Maßnahmen. Vollständiges TOM-Dokument auf Anfrage.

Access Control

Industrie-Standard Secret-Management (kein Klartext in Repos oder Cloud-Sync)
Pre-Commit-Scanning gegen Secret-Leaks auf allen Repos
Multi-Faktor-Authentifizierung auf allen produktiven Diensten
Privileged-Access-Management nach Least-Privilege-Prinzip

Datenschutz at-rest

Vollverschlüsselung aller Endgeräte (Industrie-Standard)
Server-seitige Verschlüsselung bei allen Subprozessoren (siehe DPAs)
Lokale und externe Backup-Strategie

Datenschutz in transit

TLS 1.3 auf allen eigenen Domains (Cloudflare-verwaltet)
HSTS aktiv (max-age 1 Jahr, includeSubDomains)
HTTPS-only für alle Subprozessor-API-Calls

Kundendaten-Verarbeitung

PII-Verarbeitung ausschließlich über DPA-gedeckte Verarbeitungswege
Dokumentierte Routing-Matrix für AI-gestützte Verarbeitung
Details im TOM-Dokument auf Anfrage

Network Security

DDoS-Schutz auf allen Web-Properties (Cloudflare)
security.txt nach RFC 9116
Content-Security-Policy mit frame-ancestors 'none'
Standard-Hardening-Header (X-Content-Type-Options, X-Frame-Options, Referrer-Policy)

Operational Security

Quartalsweises Subprozessor-Review
Halbjährliche Prüfung Datenstandort (nächste 06.11.2026)
Incident-Response-Prozess inkl. 72h-DSGVO-Meldepflicht (Art. 33)
Dokumentierte Aufgaben- und Zugriffsverteilung

EU AI Act

Stand und Vorbereitung - nicht "konform" vor dem Stichtag.

Anbieter-Status

RAS ist kein Hochrisiko-AI-System nach Anhang III der EU-KI-Verordnung. Anwendung im B2B-Vertrieb, nicht in regulierten Bereichen wie Kreditwürdigkeit, Personalentscheidungen oder kritischer Infrastruktur.

Art. 50 (Output-Kennzeichnung)

Vorbereitet, produktiv ab 01.08.2026 (Stichtag der Verordnung). KI-Transparenz-Statement bereits öffentlich.

→ KI-Transparenz-Statement

Subprozessor-Compliance

Unser zentraler AI-Subprozessor Anthropic ist nach ISO/IEC 42001:2023 zertifiziert (AI-Management-System) - unabhängig auditiert.

Incident Response

Wie wir Security- und Datenschutz-Findings entgegennehmen und bearbeiten.

Meldekanal

christian.hommrich@rockingaisales.de · auch dokumentiert in /.well-known/security.txt nach RFC 9116.

Antwortzeit

Antwort typisch innerhalb weniger Werktage. Für DSGVO-Meldepflichten an Aufsichtsbehörden gilt die gesetzliche 72-Stunden-Frist nach Art. 33 DSGVO.

Disclosure

Responsible Disclosure willkommen. Anerkennung auf Wunsch.

Eskalation Live-Sites

Bei kritischen Security-Findings auf produktiven Sites: dokumentierter Hotfix-Prozess mit Nachverfolgung.

Dokumente anfordern

Bestandskunden und qualifizierte Prospects mit Vendor-Assessment-Auftrag erhalten die folgenden Dokumente direkt per E-Mail.

TOM-Dokument (Art. 32 DSGVO) - ab Mai 2026 Anfordern →
Verarbeitungsverzeichnis Art. 30 DSGVO - ab Mai 2026 Anfordern →
Transfer Impact Assessment (TIA) Anthropic - ab Mai 2026 Anfordern →
ISMS-Lite-Dokument - ab Mai 2026 Anfordern →
Microsoft DPA (DE / EN, Stand 09/2025) Anfordern →
Anthropic DPA Schedule 4 (Subprozessoren-Liste, public) Anthropic Trust Center →

Antwort typisch innerhalb weniger Werktage. Bei sehr sensiblen Anforderungen: NDA optional auf Anfrage.

Compliance Updates

Was sich in unserem Compliance-Stack zuletzt geändert hat.

06.05.2026

RAS Trust Center launched

Eigene Subdomain trust.rockingaisales.de live. Vollständige Subprozessoren-Liste, DPA-Status und TOMs-Public-Summary.
06.05.2026

HubSpot EU-Datenstandort verifiziert

EU-Tenant in Frankfurt bestätigt. Alle nachgelagerten HubSpot-Sub-Processoren ebenfalls in Frankfurt.
28.04.2026

security.txt + HSTS deployed

RFC 9116 security.txt auf rockingaisales.de. HSTS Header (max-age 1 Jahr, includeSubDomains, ohne preload). KI-Transparenz-Footer auf 11 Seiten.
28.04.2026

Datenschutz-Sektion 10 "Subprozessoren im Geschäftsbetrieb"

Vollständige Vendor-Liste (Anthropic, HubSpot, Microsoft, Notion, Cloudflare, Clarity) auf rockingaisales.de/datenschutz.
27.04.2026

Google Fonts CDN entfernt - alles self-hosted

DSGVO-Pflicht (LG München I, 3 O 17493/20). Inter und Geist Mono jetzt unter /fonts/ ausgeliefert.